ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険
セッション・ハイジャック,セッション・フィクゼーション,クロスサイト・リクエスト・フォージェリの三つがある。せっかく認証を受けたセッションであっても,他人に悪用されてしまうことがある。 セッション・ハイジャックは,セッション管理におけるセキュリティ上の最大の脅威だ(図2-1の1)。クラッカが盗聴や推測などでユーザーのセッションIDを入手し,そのセッションIDを使ってWebサイトにアクセスする。いわゆる「成りすまし」である。クラッカからのWebアクセスを受け付けたWebサイトは,セッションIDから正規のユーザーだと誤認識してしまうわけだ。 2番目のセッション・フィクゼーションは,セッション・ハイジャックと同じ成りすましに使われるものだが,攻撃方法が複雑だ(同2)。 セッション・フィクゼーションを試みるクラッカは,WebサイトにアクセスしてセッションIDを取得する。ただしクラッカは,ログインま
![ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
ストーカー、女性宅に忍び込み児童ポルノをダウンロードする | スラド YRO
英国の男性が、ストーキング相手の家に忍び込んだ上コンピュータに児童ポルノをダウンロードしたとして逮捕されたそうだ(Help Net Security、本家/.)。 この男性は同僚の女性にいたくご執心だった模様。この同僚女性の夫がいなくなれば自分にもチャンスがあると思ったのか、女性宅に忍び込みコンピュータに児童ポルノをダウンロード。ハードディスクを取り外し、女性の夫の所有物として警察に匿名で送り付けたという。 警察は一旦この夫を逮捕したとのことだが、捜査線上に犯人男性が浮かび上がり無事釈放されたとのこと。男性は取り外したハードディスクの中身のコピーを取っていたそうで、これが決定的な証拠となったようだ。 報道によるとこの男性は何度もこの女性宅に侵入していたようで、子供部屋の寝室や、仕事のスケジュールが書きこまれたカレンダーなどの写真も見つかっているという。他にも家族の写真やクレジットカード情報
もじゃもじゃVIP、略してもっぷ 隣の部屋のクソガキが無線LANはいってくるんだが・・・
隣の部屋のクソガキが無線LANはいってくるんだが・・・ 1 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:25:39.83 ID:QYndHUdN0電波ジャッカー死ね('A`) 勝手にPSPやらDSやら繋げんな 入った理由が「WEPだったし俺の家有線ケーブルしかない」じゃねーよ 何がaircrackで余裕だっただこのスクリプトキディが MACアドレスで接続弾くこと出来る? 3 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:27:05.65 ID:BaY7o6x6Oよく分からないけど 暗号化しても使われてるなら通報しろ 4 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:27:20.03 ID:t3zBYysZ0友達ができてよかったね 6 名前:以下、名無しにかわりま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メッセサンオー個人情報流出事件 まとめ その2:【2ch】ニュー速VIPブログ(`・ω・´)
FreeBSDいちゃらぶ日記
TechCrunch | Startup and Technology News
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う